Googleも強く推奨し、yahoo、Amazonなどの大手企業も次々と導入している常時SSL。
その波は個人ブログまで押し寄せてきています。
Googleがアドセンスの初回申請に無料ブログは認めないとしたように、今後SSL化対応していないブログはアドセンスを認めないというようなことにならないとも言い切れません。
追記
Google Chromeでは2018年7月24日より、独自SSLが設定されていないページすべてに「保護されていません」といった警告が表示されるようになりました。
SSL化されていないページの信頼性低下にもつながります。
今では、サーバー大手のエックスサーバー やロリポップ!は無料で独自SSLを提供していて、SSL化へのハードルはぐっと下がっています。
個人ブログを運営中で、常時SSL化をしようと考えている方に、その手順を画像付で説明していきたいと思います。
このブログでは、サーバーはロリポップを、WordPressのテーマはSimplicity2を使用していますが、流れとしては同じですので参考にしてみてください。
※現在はサーバーをmixhost、テーマをCocoonに変更しています。
SSL化の前にプラグインでバックアップ
まず常時SSL化する前にバックアップを取っておきます。
何かを変えようとするときは必ずバックアップを取っておくという癖をつけておくとよいと思います。
万が一失敗しても、バックアップが取ってあれば復旧することができますからね。
これまで積み上げてきたブログは資産です。その資産を守るためにもバックアップは取っておきましょう。
今回は「BackWPup」というプラグインを使います。
まだインストールされていない方は、
管理画面から[プラグイン]-[新規追加]で「BackWPup」と検索してください。
「今すぐインストール」をクリックしてインストールした後、「有効化」をしておいてください。
管理画面に戻って、[BackWPup]をクリックします。
画面右側に「1クリックバックアップ」と書かれた下に「データベースのバックアップをダウンロード」というボタンをクリックし、任意の場所に保存してください。
これでバックアップは完了です。
サーバー側でSSL設定(ロリポップ編)
僕のブログはロリポップを使っているので、ロリポップでの手順をご紹介します。
ご自身で契約されているサーバーのホームページを見れば手順が記載してありますので、それに従って進めてください。
ロリポップでの手順はとても簡単です。
①ユーザー専用ページにログインしてください。
②管理画面の[セキュリティ]から[独自SSL証明書導入]をクリックしてください。
③下の図のように、SSL化したいドメインにチェックを入れて、「独自SSL(無料)を設定する」をクリックしてください。
④「SSL設定作業中」となります。放っておいても何も変わりませんので、5分くらいしたらページをリロード(F5)してみてください。SSL化されたら、開いているページから該当のドメインが消えます。
⑤ [SSLで保護されているドメイン]タブを開いて、該当のドメインが移動していたらSSL化の成功です。
常時SSL化は無料で利用できる以下のサーバーがおすすめですよ!
WordPress側での常時SSL化の設定
一般設定でアドレスの変更
WordPressの管理画面にログインし、[設定]-[一般]をクリックしてください。
一般設定の画面になるので、WordPressアドレスとサイトアドレスを変更します。
httpで始まるアドレスと、httpsで始まるアドレスはたった一つ「s」が付いただけですが、全く異なるアドレスになりますので、間違えないように変更しましょう。
下の図のように変更したら、「変更を保存」をクリックしてください。
↓
内部リンクや画像などの旧アドレスを一括置換
これまで作り上げてきた記事の中に、内部リンクや画像などが貼り付けてあるかと思います。
これらはまだSSL化される前のhttpで始まるアドレスのままとなっています。
この状態でhttpsから始まるサイトのページを見ると、【鍵マークの保護された通信】の表示が出ません。
つまり、サイトのアドレスはhttpsに変わったけども、完全にSSL化されていないということですね。
このように、httpsで始まるアドレスと、httpで始まるアドレスが混在しているページは保護されないということになります。
そのため、内部リンクや挿入した画像などのアドレスを変更する必要がありますが、その数が多ければ多いほど作業が大変ですよね。
そこで、『Search Regex』というプラグインの出番です。
インストールされていない場合は、[プラグイン]-[新規追加]で、『Search Regex』と検索して「今すぐインストール」し、「有効化」してください。
使い方は、管理画面から[ツール]-[Search Regex]をクリックすると、次の画面が出てきます。
Search patternに変更前のアドレスを入力
Replace patternに変更後のアドレスを入力
「Replace」をクリックしてください。この作業ではまだ置換されません。どこがどのように置き換わるかの確認を行います。
一通り確認が終わりましたら、「Replace & Save」をクリックしてください。
上の方を見ると、何箇所置き換わったというメッセージが出ます。
これで変更が完了しました。
このプラグインですべての旧アドレスが置換されたかというと、実は置換されないものもあるので注意が必要です。
アドレス横に鍵マークがつくかどうか確認してみてください。
鍵マークがつけばOKです。
鍵マークがつかない場合は、どこかにまだ旧アドレスが混在したページが残っていることが考えられます。
僕もこのプラグインだけではすべて置換されませんでした。
確認方法としては、F12を押して、Console画面を開いてみてください。
旧アドレスが混在している箇所の一覧が出てきますので、ひとつひとつ潰していきます。
僕の場合は、WordPressのテーマSimplicity2を使っており、ヘッダー画像とロゴをSimplicity2のカスタマイズ画面から変更していました。
その部分の画像アドレスは置換されませんでしたので、再度画像を入れ直しました。
※モバイルヘッダーの画像を入れている場合も、再度入れ直してください。
また、ウィジェットで管理していたプロフィール画像のアドレスも置換されていませんでしたので、画像を入れ直しました。
この辺りはどうやらプラグイン『Search Regex』では置換されないようですので、特に意識しておいてください。
アドレス横に鍵マークがつけば完了です。
スマホでも必ず確認しておいてくださいね。
僕は、PCでは鍵マークがついたのに、スマホで鍵マークがつかなくて、原因を発見するまで時間を食ってしまいました。(原因は上記でも少し書いた、モバイルヘッダーの画像を入れ替えていなかったことだったんですが・・・)
常時SSL化後のリダイレクト(転送)設定
SSL化されると、旧アドレスを開いても見れなくなってしまいます。
それではユーザー(読者)の方は困ってしまいますよね。リンクを貼ってくれている方やブックマークしてくれている方が来れなくなるのでは、アクセス減につながってしまいます。
そこで、旧アドレスからもリダイレクト(転送)できるように設定する必要があります。
①ファイル転送ソフト(FileZillaなど)でサーバーにアクセスして、サイトフォルダ直下にある「.htaccess」をローカルにダウンロードします。
.htaccessファイルの編集に失敗すると、サイトにログインすら出来なくなりますので、編集前に必ずバックアップを取っておきましょう。
②「.htaccess」をテキストエディター(Terapadなど)で開き、次のリダイレクト文を先頭に追加します。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
④更新した「.htaccess」をサーバーにアップロードして上書きします。
これで、旧アドレスから入っても、SSL化されたサイトへ自動的に移行されることになります。
以上で常時SSL化のすべての作業が終わりとなります。
Google Analytics、Search Consoleの再設定
GoogleAnalyticsに登録している方は、プロパティ設定から、デフォルトのURLを「http://」から「https://」に変更しておいてください。
Search ConsoleのSSL化される前の旧プロパティはもはや別のサイトと認識されますので、改めて追加登録する必要があります。「プロパティを追加」をクリックし、https://から始まるサイトを登録してください。今回の所有権の確認は、以前のサイト登録の際に埋め込んだトラッキングコードがそのまま利用できますので、スムーズにいくと思います。
まとめ
手順自体はそれほど難しくはないんですが、エラーが出た時に対応できるかですね。
僕の場合はまだ記事数も少なく、原因も比較的簡単に突き止めることができたのでラッキーでした。
SSL化しようと考えている方は、早めにした方が後々困らなくてよいのかなと思います。